Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Hinweis
Zero Trust ist eine Sicherheitsstrategie, die drei Prinzipien umfasst: „Explizit überprüfen“, „Zugriff mit geringsten Berechtigungen verwenden“ und „Von einer Verletzung ausgehen“. Der Datenschutz, einschließlich der Schlüsselverwaltung, unterstützt das Prinzip „Zugriff mit den geringsten Rechten verwenden“. Weitere Informationen finden Sie unter Was ist Zero Trust?
In Azure können Verschlüsselungsschlüssel entweder plattformseitig oder kundenseitig verwaltet werden.
Plattformseitig verwaltete Schlüssel (Platform-Managed Keys, PMKs) sind Verschlüsselungsschlüssel, die vollständig von Azure generiert, gespeichert und verwaltet werden. Es erfolgt keine Interaktion der Kunden mit PMKs. Bei den Schlüsseln, die beispielsweise für die Azure-Datenverschlüsselung ruhender Daten verwendet werden, handelt es sich standardmäßig um PMKs.
Kundenseitig verwaltete Schlüssel (Customer-Managed Keys, CMKs) hingegen sind Schlüssel, die von einem oder mehreren Kunden gelesen, erstellt, gelöscht, aktualisiert und/oder verwaltet werden. Bei Schlüsseln, die in einem kundeneigenen Schlüsseltresor oder Hardwaresicherheitsmodul (HSM) gespeichert sind, handelt es sich um CMKs. Bring Your Own Key (BYOK) ist ein CMK-Szenario, in dem ein Kunde Schlüssel von einem externen Speicherort in einen Azure-Schlüsselverwaltungsdienst importiert (siehe Azure Key Vault: Bring Your Own Key-Spezifikation).
Ein besonderer Typ von kundenseitig verwaltetem Schlüssel ist der „Schlüsselverschlüsselungsschlüssel“ (Key Encryption Key, KEK). Ein KEK ist ein Primärschlüssel, der den Zugriff auf einen oder mehrere Verschlüsselungsschlüssel steuert, die selbst verschlüsselt sind.
Kundenseitig verwaltete Schlüssel können lokal oder – was häufiger der Fall ist – in einem Schlüsselverwaltungsdienst in der Cloud gespeichert werden.
Azure-Schlüsselverwaltungsdienste
Azure bietet mehrere Optionen zum Speichern und Verwalten Ihrer Schlüssel in der Cloud, einschließlich Azure Key Vault, Azure Key Vault Managed HSM, Azure Cloud HSM und Azure Payment HSM. Diese Optionen unterscheiden sich in Bezug auf die FIPS-Konformitätsstufe, den Verwaltungsaufwand und die vorgesehenen Anwendungen.
Eine umfassende Anleitung zur Auswahl der richtigen Schlüsselverwaltungslösung für Ihre spezifischen Anforderungen finden Sie unter "Auswählen der richtigen Schlüsselverwaltungslösung".
Azure Key Vault (Standardebene)
Ein FIPS 140-2 Level 1 validierter mehrinstanzenfähiger Cloudschlüsselverwaltungsdienst, der zum Speichern asymmetrischer Schlüssel, geheimer Schlüssel und Zertifikate verwendet werden kann. In Azure Key Vault gespeicherte Schlüssel sind softwaregeschützt und können für ruhende und benutzerdefinierte Anwendungen verwendet werden. Azure Key Vault Standard bietet eine moderne API und eine Breite regionaler Bereitstellungen und Integrationen mit Azure Services. Weitere Informationen finden Sie unter "Informationen zu Azure Key Vault".
Azure Key Vault (Premium-Stufe)
Ein FIPS 140-3 Level 3-validiertes, PCI-kompatibles, multitenant HSM-Angebot, das zum Speichern asymmetrischer Schlüssel, geheimer Schlüssel und Zertifikate verwendet werden kann. Schlüssel werden mithilfe von Marvell LiquidSecurity HSMs* in einer sicheren Hardwaregrenze gespeichert. Microsoft verwaltet und betreibt das zugrunde liegende HSM, und Schlüssel, die in Azure Key Vault Premium gespeichert sind, können für ruhende und benutzerdefinierte Anwendungen verwendet werden. Azure Key Vault Premium bietet auch eine moderne API und eine Breite regionaler Bereitstellungen und Integrationen mit Azure Services.
Von Bedeutung
Azure Integrated HSM: Beginnend mit neuer Azure-Serverhardware (AMD D und E Series v7 Preview) werden von Microsoft entworfene HSM-Chips direkt auf Servern eingebettet, die FIPS 140-3 Level 3-Standards erfüllen. Diese manipulationssicheren Chips behalten Verschlüsselungsschlüssel innerhalb sicherer Hardwaregrenzen bei, wodurch Latenz- und Expositionsrisiken vermieden werden. Das integrierte HSM arbeitet standardmäßig transparent für unterstützte Dienste wie Azure Key Vault und die Azure Storage-Verschlüsselung und bietet hardwarebasierte Vertrauenswürdigkeit, ohne dass eine zusätzliche Konfiguration erforderlich ist. Diese Integration stellt sicher, dass kryptografische Vorgänge von der Sicherheitsisolation auf Hardwareebene profitieren und gleichzeitig die Leistung und Skalierbarkeit von Clouddiensten beibehalten.
Wenn Sie als Azure Key Vault Premium-Kunde auf der Suche nach Schlüsselhoheit, Einzelmandantenfähigkeit und/oder höheren Werten für Kryptovorgänge pro Sekunde sind, sollten Sie stattdessen verwaltetes Azure Key Vault-HSM in Betracht ziehen. Weitere Informationen finden Sie unter "Informationen zu Azure Key Vault".
Über Azure Key Vault verwaltetes HSM
Ein FIPS 140-3 Level 3-validiertes, Single-Tenant-HSM-Angebot, das Kunden die vollständige Kontrolle über ein HSM für Verschlüsselung im Ruhezustand, schlüsselloses SSL/TLS-Offload und benutzerdefinierte Anwendungen bietet. Azure Key Vault Managed HSM ist die einzige Schlüsselverwaltungslösung, die vertrauliche Schlüssel anbietet. Kunden erhalten einen Pool von drei HSM-Partitionen, die als eine logische, hochverfügbare HSM-Appliance fungieren. Diese wird von einem Dienst bereitgestellt, der Kryptofunktionalität über die Key Vault-API verfügbar macht. Microsoft behandelt die Bereitstellung, Patching, Wartung und Hardwarefailover der HSMs, hat jedoch keinen Zugriff auf die Schlüssel selbst, da der Dienst innerhalb der vertraulichen Computeinfrastruktur von Azure ausgeführt wird. Azure Key Vault Managed HSM ist in die Azure SQL-, Azure Storage- und Azure Information Protection PaaS-Dienste integriert und bietet Unterstützung für keyless TLS mit F5 und Nginx. Weitere Informationen finden Sie unter Was ist azure Key Vault Managed HSM?.
Azure Cloud HSM
Ein hochverwendiger, FIPS 140-3 Level 3 validierter Einzelmandantendienst, der Kunden die vollständige Verwaltungsautorität über ihre HSMs gewährt. Azure Cloud HSM ist der Nachfolger von Azure Dedicated HSM und bietet einen sicheren, kundeneigenen HSM-Cluster zum Speichern kryptografischer Schlüssel und zum Ausführen kryptografischer Vorgänge. Microsoft übernimmt die hohe Verfügbarkeit, das Patching und die Wartung der HSM-Infrastruktur. Der Dienst unterstützt verschiedene Anwendungen, einschließlich PKCS#11, SSL/TLS-Offloading, Zertifizierungsstelle (CA) privater Schlüsselschutz, transparente Datenverschlüsselung (TDE) und Dokumenten- und Codesignatur. Azure Cloud HSM unterstützt Branchenstandard-APIs wie PKCS#11, OpenSSL, JCA/JCE und Microsoft CNG/KSP, sodass sie ideal für die Migration von Anwendungen von lokalen, Azure Dedicated HSM oder AWS CloudHSM geeignet ist. Weitere Informationen finden Sie unter Was ist Azure Cloud HSM?.
Azure Payment HSM
Ein FIPS 140-2 Level 3, PCI HSM v3, validiertes Single-Tenant Bare Metal HSM-Angebot, mit dem Kunden eine HSM-Zahlungseinheit in Microsoft-Rechenzentren für Zahlungsvorgänge leasen können, einschließlich Zahlungs-PIN-Verarbeitung, Ausgabe von Zahlungsanmeldeinformationen, Sichern von Schlüsseln und Authentifizierungsdaten und vertraulicher Daten. Der Dienst ist PCI DSS, PCI 3DS und PCI-PIN kompatibel. Azure Payment HSM bietet HSMs mit einem Mandanten für die Kundschaft, die vollständige Administrative Kontrolle und exklusiven Zugriff auf das HSM hat. Sobald der HSM einer Kundschaft zugewiesen wurde, hat Microsoft keinen Zugriff auf Kundendaten. Ebenso werden Kundendaten, wenn das HSM nicht mehr benötigt wird, sofort nach Freigabe des HSM gelöscht und auf Null gesetzt, um vollständige Privatsphäre und Sicherheit zu gewährleisten. Weitere Informationen finden Sie unter Was ist Azure Payment HSM?.
Hinweis
* Azure Key Vault Premium ermöglicht die Erstellung von softwaregeschützten und HSM-geschützten Schlüsseln. Wenn Sie Azure Key Vault Premium verwenden, stellen Sie sicher, dass der erstellte Schlüssel HSM geschützt ist.
Azure Dedicated HSM (Außerbetriebnahme)
Azure Dedicated HSM wird eingestellt. Microsoft wird bestehende dedizierte HSM-Kunden bis zum 31. Juli 2028 vollständig unterstützen. Es werden keine neuen Kunden-Onboardings akzeptiert. Vollständige Details und erforderliche Aktionen finden Sie im offiziellen Azure-Update.
Wenn Sie ein Azure Dedicated HSM-Benutzer sind, lesen Sie "Migrieren von Azure Dedicated HSM zu Azure Managed HSM" oder "Azure Cloud HSM". Azure Cloud HSM ist jetzt allgemein verfügbar und der Nachfolger von Azure Dedicated HSM.
Preiskalkulation
Die Ebenen "Azure Key Vault Standard" und "Premium" werden auf Transaktionsbasis abgerechnet, mit einer zusätzlichen monatlichen Gebühr pro Schlüssel für Premium-hardwaregestützte Schlüssel. Azure Key Vault Managed HSM, Azure Cloud HSM und Azure Payment HSM berechnen nicht auf Transaktionsbasis; Stattdessen handelt es sich um geräteinterne Geräte, die mit einem festen Stundensatz in Rechnung gestellt werden. Ausführliche Preisinformationen finden Sie unter Key Vault-Preise, Cloud HSM-Preise und Zahlungs-HSM-Preise.
Diensteinschränkungen
Azure Key Vault Managed HSM, Azure Cloud HSM und Azure Payment HSM bieten dedizierte Kapazität. Azure Key Vault Standard und Premium sind mehrinstanzenfähige Dienste und haben Drosselungsgrenzen. Informationen zu Dienstgrenzwerten finden Sie unter Key Vault-Dienstbeschränkungen und Cloud HSM-Dienstgrenzwerte.
Verschlüsselung ruhender Daten
Azure Key Vault und Azure Key Vault Managed HSM sind mit Integrationen für Azure-Dienste und Microsoft 365 ausgestattet, die von Kunden verwaltete Schlüssel betreffen. Dies bedeutet, dass Kunden ihre eigenen Schlüssel im Azure Key Vault und Azure Key Vault Managed HSM für die Verschlüsselung im Ruhezustand von Daten verwenden können, die in diesen Diensten gespeichert sind. Azure Cloud HSM und Azure Payment HSM sind Infrastructure-as-Service-Angebote und bieten keine Integrationen mit Azure Services. Eine Übersicht über ruhende Verschlüsselung mit azure Key Vault und azure Key Vault Managed HSM finden Sie unter Azure Data Encryption-at-Rest.
APIs
Azure Cloud HSM unterstützt die PKCS#11-, OpenSSL-, JCA/JCE- und KSP/CNG-APIs. Azure Payment HSM verwendet Thales payShield-Schnittstellen für DIE HSM-Verwaltung und kryptografische Vorgänge. Azure Key Vault und Azure Key Vault Managed HSM unterstützen diese APIs nicht; Stattdessen verwenden sie die Azure Key Vault-REST-API und bieten SDK-Unterstützung an. Weitere Informationen zur Azure Key Vault-API finden Sie in der Referenz für die Azure Key Vault-REST-API.